Μία επιχείρηση κυβερνοκατασκοπείας με spyware στοχοποίησε χρήστες μέσω 3,2 εκατομμυρίων downloads επεκτάσεων στον δημοφιλή web browser της Google, Chrome, ανέφεραν στο Reuters ερευνητές της Awake Security, υποδεικνύοντας τα προβλήματα που αντιμετωπίζει η βιομηχανία τεχνολογίας όσον αφορά στην προστασία των browsers ενώ αυτοί χρησιμοποιούνται όλο και περισσότερο για επικοινωνία, πληρωμές και άλλες ευαίσθητες λειτουργίες.
Η Google ανέφερε πως απομάκρυνε πάνω από 70 από τα κακόβουλα add-ons από το Chrome Web Store, αφού ενημερώθηκε από τους ερευνητές τον προηγούμενο μήνα. «Όταν ενημερωνόμαστε για επεκτάσεις στο Web Store που παραβιάζουν τις πολιτικές μας, αναλαμβάνουμε δράση και χρησιμοποιούμε αυτά τα περιστατικά ως εκπαιδευτικό υλικό για τη βελτίωση των αυτοματοποιημένων και χειροκίνητων αναλύσεών μας» είπε στο Reuters ο Σκοτ Γουέστοβερ, εκπρόσωπος της Google.
Τα περισσότερα από τα δωρεάν extensions υποτίθεται πως ενημέρωνα χρήστες για αμφιλεγόμενες ιστοσελίδες ή μετέτρεπαν αρχεία από ένα format σε ένα άλλο. Αντ'αυτού, υπέκλεπταν ιστορικά περιήγησης και δεδομένα τα οποία παρείχαν πιστοποιήσεις για πρόσβαση σε εσωτερικά επαγγελματικά εργαλεία.
Με βάση τον αριθμό των downloads, ήταν η μεγαλύτερης κλίμακας εκστρατεία στο Chrome store μέχρι τώρα, σύμφωνα με τον συνιδρυτή της Awake, Γκάρι Γκολόμπ.
Είναι άγνωστο ποιος ήταν πίσω από την προσπάθεια κυκλοφορίας του κακόβουλου λογισμικού. Η Awake ανέφερε πως οι developers έδωσαν ψεύτικα στοιχεία επικοινωνίας όταν υπέβαλαν τα extensions στη Google. Σημειώνεται επίσης πως τα extensions αυτά ήταν σχεδιασμένα έτσι ώστε να αποφεύγουν τον εντοπισμό από εταιρείες antivirus ή λογισμικά ασφαλείας που αξιολογούν τη φήμη των web domains, είπε ο Γκολόμπ.
Εάν κάποιος χρησιμοποιούσε τον browser για περιήγηση στο web από οικιακό υπολογιστή, συνδεόταν σε μια σειρά ιστοσελίδων και μετέδιδε πληροφορίες, ανέφεραν οι ερευνητές. Οποιοσδήποτε χρησιμοποιούσε εταιρικό δίκτυο, που περιελάμβανε υπηρεσίες ασφαλείας, δεν μετέδιδε ευαίσθητες πληροφορίες, ούτε έφτανε στις κακόβουλες εκδόσεις των ιστοσελίδων. «Αυτό δείχνει πώς οι δράστες μπορούν να χρησιμοποιούν πολύ απλές μεθόδους για να κρύβουν, σε αυτή την περίπτωση, χιλιάδες κακόβουλα domains» είπε ο Γκολόμπ.
Όλα τα επίμαχα domains, πάνω από 15.000 που συνδέονταν μεταξύ τους συνολικά, είχαν αγοραστεί από τη Galcomm στο Ισραήλ (γνωστή προηγουμένως ως CommuniGal Communication Ltd). Η Awake εκτιμά πως η Galcomm θα έπρεπε να γνώριζε τι συνέβαινε, ωστόσο ο ιδιοκτήτης της, Μοσέ Φόγκελ, είπε στο Reuters πως η εταιρεία του δεν εμπλεκόταν σε αυτές τις δραστηριότητες, ενώ δεν υπάρχουν αρχεία των επικοινωνιών στις οποίες ο Γκολόμπ είπε πως είχε προβεί τον Απρίλιο και τον Μάιο.
Σύμφωνα με τον Φόγκελ, τα περισσότερα από τα επίμαχα domain names ήταν ενεργά και τα υπόλοιπα θα διερευνηθούν. Η Internet Corp for Assigned Names and Numbers (ICANN), που επιβλέπει τα registrars, ανέφερε πως έχει λάβει πολύ λίγα παράπονα για τη Galcomm γενικότερα, και κανένα σχετικά με malware.
Η Google ανέφερε πως απομάκρυνε πάνω από 70 από τα κακόβουλα add-ons από το Chrome Web Store, αφού ενημερώθηκε από τους ερευνητές τον προηγούμενο μήνα. «Όταν ενημερωνόμαστε για επεκτάσεις στο Web Store που παραβιάζουν τις πολιτικές μας, αναλαμβάνουμε δράση και χρησιμοποιούμε αυτά τα περιστατικά ως εκπαιδευτικό υλικό για τη βελτίωση των αυτοματοποιημένων και χειροκίνητων αναλύσεών μας» είπε στο Reuters ο Σκοτ Γουέστοβερ, εκπρόσωπος της Google.
Τα περισσότερα από τα δωρεάν extensions υποτίθεται πως ενημέρωνα χρήστες για αμφιλεγόμενες ιστοσελίδες ή μετέτρεπαν αρχεία από ένα format σε ένα άλλο. Αντ'αυτού, υπέκλεπταν ιστορικά περιήγησης και δεδομένα τα οποία παρείχαν πιστοποιήσεις για πρόσβαση σε εσωτερικά επαγγελματικά εργαλεία.
Με βάση τον αριθμό των downloads, ήταν η μεγαλύτερης κλίμακας εκστρατεία στο Chrome store μέχρι τώρα, σύμφωνα με τον συνιδρυτή της Awake, Γκάρι Γκολόμπ.
Είναι άγνωστο ποιος ήταν πίσω από την προσπάθεια κυκλοφορίας του κακόβουλου λογισμικού. Η Awake ανέφερε πως οι developers έδωσαν ψεύτικα στοιχεία επικοινωνίας όταν υπέβαλαν τα extensions στη Google. Σημειώνεται επίσης πως τα extensions αυτά ήταν σχεδιασμένα έτσι ώστε να αποφεύγουν τον εντοπισμό από εταιρείες antivirus ή λογισμικά ασφαλείας που αξιολογούν τη φήμη των web domains, είπε ο Γκολόμπ.
Εάν κάποιος χρησιμοποιούσε τον browser για περιήγηση στο web από οικιακό υπολογιστή, συνδεόταν σε μια σειρά ιστοσελίδων και μετέδιδε πληροφορίες, ανέφεραν οι ερευνητές. Οποιοσδήποτε χρησιμοποιούσε εταιρικό δίκτυο, που περιελάμβανε υπηρεσίες ασφαλείας, δεν μετέδιδε ευαίσθητες πληροφορίες, ούτε έφτανε στις κακόβουλες εκδόσεις των ιστοσελίδων. «Αυτό δείχνει πώς οι δράστες μπορούν να χρησιμοποιούν πολύ απλές μεθόδους για να κρύβουν, σε αυτή την περίπτωση, χιλιάδες κακόβουλα domains» είπε ο Γκολόμπ.
Όλα τα επίμαχα domains, πάνω από 15.000 που συνδέονταν μεταξύ τους συνολικά, είχαν αγοραστεί από τη Galcomm στο Ισραήλ (γνωστή προηγουμένως ως CommuniGal Communication Ltd). Η Awake εκτιμά πως η Galcomm θα έπρεπε να γνώριζε τι συνέβαινε, ωστόσο ο ιδιοκτήτης της, Μοσέ Φόγκελ, είπε στο Reuters πως η εταιρεία του δεν εμπλεκόταν σε αυτές τις δραστηριότητες, ενώ δεν υπάρχουν αρχεία των επικοινωνιών στις οποίες ο Γκολόμπ είπε πως είχε προβεί τον Απρίλιο και τον Μάιο.
Σύμφωνα με τον Φόγκελ, τα περισσότερα από τα επίμαχα domain names ήταν ενεργά και τα υπόλοιπα θα διερευνηθούν. Η Internet Corp for Assigned Names and Numbers (ICANN), που επιβλέπει τα registrars, ανέφερε πως έχει λάβει πολύ λίγα παράπονα για τη Galcomm γενικότερα, και κανένα σχετικά με malware.